1、局域网组建、管理与维护,杨 威 山西师范大学网络信息中心,电子工业出版社,新编计算机类本科规划教材,(第2版),第5章 Web网站安全设置与管理,2019/2/7,问题思考,回顾使用Internet的经历,思考Web网站安全弱点有哪些? 联想Internet安全,思考如何保护Web网站安全?,2019/2/7,学习目标 (1)理解Web系统安全弱点及产生原因,理解操作系统服务包和安全补丁的作用。掌握Windows Server 2008的系统帐号安全设置、文件系统安全,以及安全模板创建与使用。会使用安全配置与分析与安全配置向导,加固操作系统的安全。 (2)理解IIS的安全机制。掌握Window
2、s Server 2008的IP地址限制、用户身份验证、授权规则、SSL证书验证、文件的NTFS权限设置的方法。了解IIS日志记录内容,学会IIS日志审核方法。 (3)理解Windows Server 2008高级安全防火墙作用,会使用高级安全防火墙保护服务器的安全。理解使用路由器、防火墙协同保护内网及服务器安全的方法,掌握使用路由器的ACL建立防火墙,保护内网及服务器安全的配置方法。,第5章Web网站安全设置与管理,2019/2/7,重点知识: Web系统安全弱点及产生原因 Windows Server 2008的系统帐号安全设置、文件系统安全,以及安全模板创建与使用 Windows Ser
3、ver 2008的IP地址限制、用户身份验证、授权规则、SSL证书验证、文件的NTFS权限设置的方法 Windows Server 2008高级安全防火墙保护服务器的安全 使用路由器、防火墙协同保护内网及服务器安全的方法,使用路由器ACL建立防火墙,保护内网及服务器安全的配置方法 难点知识: 使用路由器、防火墙协同保护内网及服务器安全的方法,使用路由器的ACL建立防火墙,保护内网及服务器安全的配置方法,第5章Web网站安全设置与管理,2019/2/7,Web系统安全弱点 加固操作系统的安全 设置Web服务器的安全 高级安全Windows防火墙 保护网络边界安全 设置边界路由器的ACL,第5章W
4、eb网站安全设置与管理,2019/2/7,5.1 Web系统的安全弱点,操作系统和应用程序的默认安装 使用弱口令或空口令的账号 无备份或者备份不完整 大量打开的端口 没有用于更正输入和输出地址的报文筛选 无日志或者日志不完善 易受攻击的CGI程序 恶意代码,2019/2/7,网站挂马,从“挂马”这个词中可以知道,这和木马脱离不了关系。挂马就是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,利用被黑网站的流量将自己的网页木马传播开去,以达到自己不可告人的目的。 挂马使用的木马大致可以分为两类。一类是以远程控制为目的的木马,黑客使用这种木马进行挂马攻击,其目的是对某些网站实施拒绝服
5、务攻击或达到其他目的。另一类是键盘记录木马,通常称其为盗号木马,这类木马用于盗取用户的游戏账号或者银行账号。,2019/2/7,攻击手段,安全攻击基本手段,2019/2/7,非法权限类,特洛伊木马 系统欺骗 拒绝服务 入侵 窃取,2019/2/7,一种未经授权的程序,或在合法程序中有一段未经授权的程序代码,或在合法程序中包含有一段用户不了解的程序功能。上述程序对用户来说具有恶意的行为。,PKZIP300,特洛伊木马,非法权限类,信息窃取类 逻辑炸弹类,陷阱入口类 功能欺骗类,2019/2/7,信息窃取类 攻击系统权限,2019/2/7,信息窃取类攻击系统权限-1,2019/2/7,信息窃取类攻
6、击系统权限-2,2019/2/7,攻击口令,信息窃取类,伪造登 录现场,LOGIN特洛伊木马,2019/2/7,指示输入错 误,重输入,捕获口 令退出,LOGIN特洛伊木马,信息窃取类攻击口令-1,2019/2/7,真实登 录现场,Pale Rider,密码被窃取,采用TSR技术也可达到同样的目的,输入正确 进入系统,信息窃取类攻击口令-2,2019/2/7,伪造ATM是典型的欺骗类特洛伊木马案件。,信息窃取类攻击口令-3,2019/2/7,逻辑炸弹,逻辑炸弹是程序中的一部分,满足一定条件时激活某种特定的程序,并产生系统自毁,并附带破坏。,2019/2/7,逻辑炸弹-1,潜伏代码,满足条 件否
7、?,满足而 爆炸,满足而 爆炸,2019/2/7,陷阱入口,2019/2/7,5.2 加固操作系统的安全,操作系统是Web服务器的基础,虽然操作系统本身在不断完善,对攻击的抵抗能力日益提高,但是要提供完整的系统安全保证,仍然有许多安全配置和管理工作要做。,2019/2/7,5.2 加固操作系统的安全,系统服务包和安全补丁 系统账户安全配置 文件系统安全设置 安全模板创建与使用 使用安全配置和分析 使用安全配置向导,2019/2/7,5.2.1系统服务包和安全补丁,微软提供的安全补丁有两类:服务包(Service Pack)和热补丁(Hot fixes)。 服务包已经通过回归测试,能够保证安全安
8、装。每一个Windows的服务包都包含着在此之前所有的安全补丁。微软公司建议用户及时安装服务包的最新版。安装服务包时,应仔细阅读其自带的Readme文件并查找已经发现的问题,最好先安装一个测试系统,进行试验性安装。 安全热补丁的发布更及时,只是没有经过回归测试。 在安装之前,应仔细评价每一个补丁,以确定是否应立即安装还是等待更完整的测试之后再使用。在Web服务器上正式使用热补丁之前,最好在测试系统上对其进行测试。,2019/2/7,使用360安全卫士修复漏洞,2019/2/7,5.2.2 系统账户安全配置,禁止或删除不必要的账户 (如Guest ) 设置增强的密码策略 密码长度至少9个字符。设
9、置一个与系统或网络相适应的最短密码存留期(典型的为17天)。 设置一个与系统或网络相适应的最长密码存留期(典型的不超过42天)。设置密码历史至少6个。这样可强制系统记录最近使用过的几个密码。,2019/2/7,设置账户锁定策略,(1)复位账户锁定计数器。用来设置连续尝试的时限。 (2)账户锁定时间。用于定义账户被锁定之后,保持锁定状态的时间。 (3)账户锁定阈阀值。用于设置允许用户连续尝试登录的次数。,2019/2/7,加强管理员账户的安全性,(1)将Administrator重命名,改为一个不易猜测的名字。 (2)为Administrator账户设置一个复杂密码,由多种字符类型(字母、数字和
10、标点符号等)构成,密码长度不能少于9个字符。 (3)建立一个伪账户,其名字虽然是Administrator,但是没有任何权限。定期审查事件日志,查找对该账户的攻击企图。 (4)使用Passprop.exe工具设置管理员账户的锁定阀值。 (5)除管理员账户外,有必要再增加一个属于管理员组(Administrators)的账户,作为备用账户。,2019/2/7,可使用本地安全策略(或域安全策略)管理器来设置用户权限指派,检查、授予或删除用户账户特权、组成员以及组特权。,Web服务器的用户账户尽可能少 严格控制账户特权,2019/2/7,4.2.3 文件系统安全设置,确保使用NTFS文件系统安装Wi
11、ndows 2000服务器时,最好将硬盘的所有分区设置为NTFS分区,而不要先使用FAT分区,再转换为NTFS分区。Web服务器软件应该安装在NTFS分区上。 设置NTFS权限保护文件和目录 要使用NTFS权限来保护目录或文件,必须具备两个条件。 要设置权限的目录或文件必须位于NTFS分区中。 对于要授予权限的用户或用户组,应设立有效的Windows账户。,禁用NTFS的8.3文件名生成,2019/2/7,禁用某项系统服务操作:,在“计算机管理”控制台中打开“服务”项目,停止某项系统服务,并更改启动类型,最好设置为“已禁用” 。,2019/2/7,删除某组件操作:,要彻底清除某些服务,可通过删
12、除Windows组件的方式来实现。从控制面板中选择“添加/删除程序”“添加/删除Windows组件”,启动Windows组件向导来删除某些组件,2019/2/7,禁止或删除不必要的网络协议,Web服务器系统只保留TCP/IP协议,删除NetBEUI、IPX/SPX协议。卸载“Microsoft网络的文件和打印机共享”。从“网络和拨号连接”文件夹中打开任一连接的属性设置对话框,鼠标单击“卸载”按钮删除该组件。,卸载“文件和打印机共享”,禁用TCP/IP上的NetBIOS,2019/2/7,尽可能减少不必要的应用程序,如果不是绝对需要,就应该避免在服务器上安装应用程序。例如,不要安装E-mail客
13、户端、Office产品及工具;或者对于服务器正常运行并不必需的工具。如果已经计划用服务器提供Web服务,那么不必为服务器添加外部应用程序。然而,当配置Web服务器以及开发Web站点时,为了实现其功能,可能会为其添加必要的工具。,删除不必要的OS/2和POSIX子系统 OS/2和POSIX子系统分别支持为OS/2和POSIX开发的应用程序。在安装Windows 2000的同时这些子系统也会被安装,应删除这些子系统。操作系统的任何部分都存在弱点,可能被攻击,删除这些额外的部分可以堵住可能出现的漏洞。,2019/2/7,5.2.4 安全模板创建与使用,Windows Server 2008的安全模板
14、是一种用文件形式定义安全策略的方法。 安全模板能够配置账户策略、本地策略、事件日志、受限制的组、文件系统、注册表和系统服务等项目的安全设置。 安全模板采用.inf格式的文件,将操作系统安全属性集合成文档。管理员可以方便地复制、粘贴、导入和导出安全模板,以及快速批量修改安全选项。,2019/2/7,1.添加安全配置管理单元,单击“开始”“运行”“打开”“MMC”,进入操作系统管理控制台(MMC),如图5.5所示。单击MMC菜单栏中的“文件”“添加/删除管理单元”,打开“添加/删除管理单元”对话框。选择“可用的管理单元”列表中的“安全配置”项,单击“添加”按钮,将“安全配置”添加到“所选管理单元”
15、列表中,接着单击“确定”按钮。返回控制台界面,可看到在MMC中已经添加了“安全配置”管理单元。,2019/2/7,2.创建与保存安全模板,在MMC中展开“安全模板”项,右键单击准备创建安全模板的路径“C:Users AdministratorDocumentsSecurityTemplantes”,在弹出菜单中选择“新添模板”命令,打开创建模板对话框,在对话框内输入模板名称(如anquan_1)和描述,单击“确定”按钮,完成安全模板的创建,如图5.6所示。,2019/2/7,5.2.5 使用安全配置和分析,“安全配置和分析”是配置与分析本地计算机系统安全性的一个工具。 该工具可以将“安全模板”
16、应用效果与本地计算机定义的安全设置进行比较。 该工具允许管理员进行快速安全分析。 在安全分析过程中,在其视窗中显示当前配置与建议,包括不安全区域。也可以使用该工具配置本地计算机系统的安全。,2019/2/7,1.添加安全配置和分析管理单元,单击“开始”“运行”“打开”“MMC”,进入操作系统管理控制台(MMC)。单击MMC菜单栏中的“文件”“添加/删除管理单元”,打开“添加/删除管理单元”对话框。选择“可用的管理单元”列表中的“安全配置和分析”项,单击“添加”按钮,将“安全配置”添加到“所选管理单元”列表中,接着单击“确定”按钮。,2019/2/7,2.安全分析与配置计算机,(1)打开数据库,
17、导入安全模板。在MMC中,右键单击“安全配置与分析”项,在弹出菜单中选择“打开数据库”命令,出现“打开数据库”对话框。在默认路径“C:UsersAdministratorDocumentsSecurityDatabase”下创建数据库“aqsjk_1”。单击“打开”按钮,出现“导入模板”对话框。再次选择安全模板文件“anquan_1”,单击“打开”按钮,导入模板,如图5.8所示。,2019/2/7,计算机系统安全分析结果,(2)安全分析,查看结果。在MMC中,右键单击“安全配置和分析”项,在弹出菜单中选择“立即分析计算机”命令。打开“进行分析”对话框,指定错误文件保存位置。单击“确定”按钮,开
18、始分析计算机系统的安全配置。分析内容包括用户权限配置、受限的组、注册表、文件系统、系统服务及安全策略等。,2019/2/7,(3)配置计算机,右键单击“安全配置和分析”项,在弹出菜单中选择“立即配置计算机”命令。 打开“配置系统”对话框,指定错误日志文件保存位置。 单击“确定”按钮,开始配置计算机系统的安全。该配置内容包括用户权限配置、受限制的组、文件系统、系统服务及安全策略等。,2019/2/7,5.2.6 使用安全配置向导,1使用安全配置向导应注意的问题 使用SCW可禁用不需要的服务,支持高安全性的Windows防火墙。SCW创建的安全策略与安全模板不同,SCW不会安装或卸载服务器执行角色
19、需要的组件。 运行SCW时,所有使用IP协议和端口的应用程序必须在服务器上运行。使用安全配置向导(SCW)创建、编辑、应用安全策略后,如果安全策略无法正常工作,可以回滚上一次应用的安全策略。,2019/2/7,2启动安全配置向导,(1)配置操作。单击“开始”“管理工具”“安全配置向导”,出现“欢迎使用安全配置向导”页面,单击“下一步”按钮,进入“配置操作”页面。在该页面中选择“新建安全策略”单选钮,在计算机上创建新的安全策略,如图5.10所示。,2019/2/7,(2)选择服务器,单击“下一步”按钮,出现“选择服务器”页面,在其中指定一台服务器作为安全策略的基准。在“服务器”文本框中输入服务器
20、主机名,如图5.11所示。,2019/2/7,(3)处理安全配置数据库,单击“下一步”按钮,开始处理安全配置数据库。对服务器进行扫描,确定服务器上已经安装的角色、服务器正在执行的角色,以及服务器配置的IP地址和子网掩码等内容。如图5.12所示。,2019/2/7,(4)查看安全配置数据库,处理安全配置数据库完成后,单击“查看配置数据库”按钮,打开SCW查看器,查看安全配置数据库,可以查看服务器角色、客户端功能、管理和其他选项、服务及Windows防火墙设置信息等内容,如图5.13所示。,2019/2/7,3基于角色的服务配置,基于角色的服务配置功能项,可以依据所选服务器的角色和功能配置服务器。
21、 配置内容包括服务器角色、客户端功能、管理选项和其他选项、其他服务器,以及处理未指定的服务器及确认服务更改等。,2019/2/7,(1)服务器角色,关闭SCW查看器,单击“下一步”按钮,进入“基于角色的服务器配置”页面。接着单击“下一步”按钮,进入“选择服务器角色”页面,如图5.14所示,2019/2/7,(2)客户端功能,进入“选择客户端功能”页面,如图5.15所示。该服务器可以是其他服务器的客户端,客户端功能必须启用角色特定服务。 安全配置向导(SCW)启用所选服务器,执行在此页面上选择的客户端功能时所需的服务,禁用不需要的服务。,2019/2/7,(3)管理项和其他选项,此页面上,可以选
22、择管理选项(如远程管理和备份)及使用服务和端口的其他应用程序选项与Windows 功能。安全配置向导根据管理员在“选择服务器角色”页面中选择的角色启用服务器所需的服务,将禁用不需要的服务。 如果在 SCW 的“网络安全”部分配置了设置,将删除不需要的防火墙规则。任何依赖于以前未选择的角色的选项将自动从列表中排除,并且不会出现。,2019/2/7,(4)选择其他服务,所选服务器执行的角色可能在安全配置数据库中找不到已安装服务。如果出现这种情况,安全配置向导将在“选择其他服务”页面上提供已安装服务的列表。,2019/2/7,(5)处理未指定的服务,未指定的服务是指未出现在安全配置数据库中的服务,这
23、些服务当前未安装在所选服务器上,但是可能已安装在要应用安全策略的其他服务器上。这些服务也可能在以后安装在所选服务器上。任何未知服务均将出现在安全配置向导的“处理未指定的服务”页面上。 在继续操作之前,要决定如何处理这些服务。可用选项说明如下。 不更改此服务的启动模式。如果选择此选项,要应用此安全策略的服务器上已启用的未指定服务仍会启用,已禁用的未指定服务仍会禁用。 禁用此服务。如果选择此选项,未在安全配置数据库中或未安装在所选服务器上的所有服务均将禁用。,2019/2/7,(6)确认服务变更,在“确认服务更改”页面上,可以看到此安全策略将对所选服务器上的服务进行的所有更改的列表。该列表将所选服
24、务器上的服务的当前启动模式与策略中定义的启动模式进行比较。启动模式可以是“禁用”、“手动”或“自动”。在应用安全策略之前,不会对所选服务器进行任何更改。,2019/2/7,4设置网络安全,在安全配置向导(SCW)的“网络安全”部分,可以添加、删除或编辑与具有高级安全性的Windows防火墙有关的规则。 具有高级安全性的Windows防火墙将主机防火墙和Internet 协议安全性(IPSec)组合在一起,运行于Windows Server 2008服务器上,并对可能穿越外围网络或源于组织内部的网络攻击提供本地保护。 它还可要求对通信进行身份验证和数据保护,从而帮助保护计算机到计算机的连接。,2
25、019/2/7,(1)网络安全,2019/2/7,网络安全规则,2019/2/7,5注册表设置,(1)要求SMB安全签名。在此页面中提供有关所选服务器,以及与其进行通信的客户端的信息。SMB协议为Microsoft文件和打印共享及许多其他网络操作(如远程Windows管理)提供基础。为了避免受到修改传输中的 SMB数据包的攻击,SMB协议支持SMB数据包的数字签名。此策略设置确定在允许与SMB 客户端进行进一步通信之前,是否必须协商SMB数据包签名。 (2)要求LDAP签名。LDAP是轻量目录访问协议。在“选择服务器角色”页面上选择“域控制器(Active Directory)”角色时,将出现
26、此页面。在“要求LDAP签名”页面上,收集域控制器的域中其他计算机的有关信息。 (3)出站/入站身份验证方法。在此页面上,收集有关用户可能尝试从其所选服务器进行身份验证的计算机的信息。这些安全设置将确定用于网络登录的质询/响应身份验证协议。此选择将影响客户端使用的身份验证协议级别、协商的会话安全级别,以及服务器接受的身份验证级别。 (4)注册表设置摘要。通过“注册表设置摘要”页面可以查看此安全策略应用于所选服务器时,对特定注册表设置进行的所有更改。SCW显示每个注册表值的当前设置及策略定义的设置值。在应用安全策略之前,不会对所选服务器进行任何更改。如果一个或多个注册表设置更改不正确,可以通过在
27、此部分的前面几页更改选择,修改这些设置。要确定需要修改哪个选择以获得所需的结果,可查看“注册表值”列。通过选择修改的注册表值将列在此部分的各页面中。返回配置该设置的页面并进行相应的更改。,2019/2/7,6设置审核策略,(1)系统审核策略。可以使用此页面为组织中的服务器创建审核策略。审核是跟踪用户活动并在安全日志中记录所选类型的事件的过程。审核策略定义要收集的事件类型。 (2)审核策略摘要。此页面提供在应用策略后,将对所选服务器上的审核策略进行的所有更改的列表。其中显示每个审核策略设置的当前设置及策略定义的设置。在应用安全策略之前,不会对所选服务器进行任何更改。,2019/2/7,7保存并应
28、用安全策略,(1)安全策略文件名。为保存安全策略选择位置以及扩展名为 .xml 的文件名。应将安全策略保存在将通过运行 SCW 应用该策略的管理员可以访问的位置。 (2)查看安全策略。可以单击“查看安全策略”项打开SCW查看器。通过SCW查看器可以在保存之前浏览策略的详细信息。 (3)包括安全模板。除了使用SCW创建的策略设置之外,还可以在安全策略中(包括其他策略)设置。单击“包括安全模板”项可以包含其他策略设置的安全模板。如果任何模板设置与SCW中创建的策略设置发生冲突,则SCW优先。 (4)应用安全策略。可以在创建或编辑策略之后,通过单击此页面上的“现在应用”项立即应用安全策略。如果希望更
29、改策略,或不希望将安全策略应用于所选服务器,则单击“稍后应用”项。如果选择稍后应用策略,则不会对所选服务器进行任何更改。如果希望应用安全策略,运行SCW,并在“配置操作”页面上单击“应用现有安全策略”项。,2019/2/7,问题时间,2019/2/7,5.3 设置Web服务器的安全,IIS的安全机制 设置IP地址限制 设置用户身份验证 设置授权规则 设置SSL证书验证 设置文件的NTFS权限 审核IIS日志记录,2019/2/7,5.3.1 IIS的安全机制,IIS 7.0是一种应用级的安全机制,它以Windows Server 2008和NTFS文件系统安全性为基础的,与Windows Se
30、rver系统安全性的紧密集成,从而提供了强大的安全管理和控制功能。 访问控制可以说是IIS安全机制中最主要内容,从用户和资源(站点、目录、文件)两个方面来限制访问。当用户访问Web服务器时,IIS利用其本身及Windows操作系统的多层安全检查和控制,来实现有效的访问控制。Web服务器访问控制过程如图5.20所示。,2019/2/7,5.3.2 设置IP地址限制,通常,Web网站允许匿名访问时,IIS 7.0设置为允许所有IP地址、计算机和域均可访问该网站。 为了增强网站的安全性,有些Web网站不允许匿名访问,如基于Web的身份认证、工作流计划系统等。 使用“IPv4 地址和域限制”功能页,可
31、以为特定IP地址、IP地址范围或域名设置允许或拒绝访问内容的规则,2019/2/7,IPv4地址和域限制,2019/2/7,5.3.3 设置用户身份验证,IIS 7.0支持匿名访问、基本验证、摘要式验证,以及Windows验证等多种身份验证方法。此外,还支持证书验证。,2019/2/7,5.3.4 设置授权规则,(1)模式,表示规则的类型。其值可以是“允许”和“拒绝”。“模式”值表明该规则是允许对内容的访问,还是拒绝对它的访问。如果某个角色、用户或组已经被某条规则明确拒绝了访问权限,则它不能由另一条规则授予访问权限。 (2)用户,表示规则应用于的用户类型(可选择所有用户、所有匿名用户、指定用户
32、或角色三种类型其中之一)、用户名或用户组。 (3)角色,表示规则应用于的Microsoft Windows角色,如管理员角色或用户角色。 (4)谓词,表示该规则应用于的HTTP谓词,例如,GET或POST。 (5)条目类型,表示项目是本地项目还是继承的项目。本地项目是从当前配置文件中读取的,继承的项目是从父配置文件中读取的。,2019/2/7,5.3.5 设置SSL证书验证,2019/2/7,5.3.6 设置文件的NTFS权限,IIS利用NTFS文件系统的安全特性来为特定用户设置Web服务器目录和文件的访问权限,以确保特定的目录或文件不被未经授权的用户访问。,2019/2/7,5.3.7 审核
33、IIS日志记录,日志格式和字段设置,2019/2/7,2日志审核,日志文件摘录,如图5.26所示。由#Software开始的一行是IIS版本,#Version表示日志使用的是W3C日志文件格式,#Date是日志创建日期。s-ip表示服务器IP地址,cs-method 表示客户端要求通过HTTP协议连接到服务器上,cs-uri-stem表示访问的资源,其他字段内容参见图5.25中的“W3C日志记录字段”列表框。,2019/2/7,问题时间,2019/2/7,5.4 高级安全Windows防火墙,高级安全Windows防火墙概述 设置入站规则保护Web站点,2019/2/7,5.4.1 高级安全W
34、indows防火墙概述,高级安全Windows防火墙是一种状态防火墙,检查并筛选IPv4和IPv6流量的所有数据包。 在默认情况下阻止传入流量,除非是对主机请求(请求的流量)的响应,或者被特别允许(即创建了防火墙规则允许该流量)。 通过配置高级安全Windows防火墙的指定端口号、应用程序名称、服务名称或其他标准,数据流允许通过。,2019/2/7,1Windows防火墙工作原理,规则配置时,可以从各种“入站”或“出站”的“访问控制”属性页中进行选择,例如,应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、
35、计算机组、协议、ICMP 类型等。规则中的访问控制对象组合在一起,形成一条控制策略,如图5.27所示。访问控制对象组合得越多,高级安全Windows防火墙控制网络行为越精细。,2019/2/7,2防火墙配置文件,防火墙配置文件是一种分组设置的方法,如防火墙规则和连接安全规则,根据服务器连接到的位置,将其应用于该服务器。在运行Windows Server 2008的服务器上,高级安全Windows防火墙有三个配置文件(域、专用、公用)。一次只能应用其中一个配置文件。 配置文件中的“域”表示当服务器连接到其域账户所在的网络。“专用”表示当服务器连接到不包括其域账户的网络时,如家庭网络。专用配置文件
36、设置,比域配置文件设置更为严格。“公用”表示当服务器通过公用网络(如Internet)连接到域时的应用。由于服务器所连接到的公用网络无法像IT环境中一样严格控制安全,因此,公用配置文件设置应该最为严格。,2019/2/7,3防火墙规则,高级安全Windows防火墙规则,支持服务器向程序、系统服务、服务器及用户发送通信,或者从程序、系统服务、服务器及用户接收通信。防火墙规则,支持匹配“访问控制(标准)”行为的所有连接。 执行以下三个操作之一:允许连接、只允许通过Internet协议安全(IPSec)保护的连接,或者明确阻止连接。,2019/2/7,4连接安全规则,连接安全规则与单方面操作的防火墙
37、规则不同,连接安全规则要求通信双方计算机均采用连接安全规则的策略或其他兼容的IPSec策略。 连接安全包括:在两台计算机开始通信之前,对它们进行身份验证,并确保在两台计算机之间正在发送信息的安全性。 高级安全Windows防火墙包含了Internet协议安全(IPSec)技术,通过使用密钥交换、身份验证、数据完整性和数据加密(可选)来实现连接安全。,2019/2/7,5监视高级安全Windows防火墙,Windows防火墙“监视”功能页,显示活动的配置文件(域、专用或公用)及该配置文件的设置。 使用“监视”功能可以监视高级安全Windows防火墙管理单元创建的防火墙规则和连接安全规则,但无法查
38、看使用IP安全策略管理单元创建的策略。,2019/2/7,5.4.2 设置入站规则保护Web站点,一个Web网站安装就绪后,会有一些服务端口处于开放状态,例如,允许匿名访问Web网站的HTTP服务端口80处于开放状态。合法用户和攻击者都使用这些开放端口连接系统。 Web网站开放的端口越多,意味着Web网站系统存在更多的安全威胁。 为了最大限度地避免黑客攻击Web网站,可以使用安全高级Windows防火墙,建立一条允许访问HTTP匿名访问的“入站”规则,使客户机只能访问Web网站的80端口。,2019/2/7,(1)设置入站规则类型,2019/2/7,(2)设置协议和端口,2019/2/7,(3
39、)设置允许连接,2019/2/7,(4)设置配置文件类型,2019/2/7,(5)指定该规则的名称和描述,2019/2/7,(6)设置禁止出站规则,2019/2/7,问题时间,2019/2/7,5.5 保护网络边界安全,网络边界,防火墙和路由器应用 使用网络DMZ 构建入侵检测系统 路由器认证技术及应用,2019/2/7,防火墙和路由器应用 -1,边界安全设备叫做防火墙。防火墙阻止试图对组织内部网络进行扫描,阻止企图闯入网络的活动,防止外部进行拒绝服务(DoS,Denial of Service)攻击,禁止一定范围内黑客利用Internet来探测用户内部网络的行为。阻塞和筛选规则由网管员所在机
40、构的安全策略来决定。防火墙也可以用来保护在Intranet中的资源不会受到攻击。不管在网络中每一段用的是什么类型的网络(公共的或私有的)或系统,防火墙都能把网络中的各个段隔离开并进行保护。,双防火墙体系结构,2019/2/7,防火墙和路由器应用 -2,防火墙通常与连接两个围绕着防火墙网络中的边界路由器一起协同工作(下图),边界路由器是安全的第一道屏障。通常的做法是,将路由器设置为执报文筛选和NAT,而让防火墙来完成特定的端口阻塞和报文检查,这样的配置将整体上提高网络的性能。 根据这个网络结构设置防火墙,最安全也是最简单的方法就是:首先阻塞所有的端口号并且检查所有的报文,然后对需要提供的服务有选
41、择地开放其端口号。通常来说,要想让一台Web服务器在Internet上仅能够被匿名访问,只开放80端口(http协议)或443端口(httpsSSL协议)即可。,2019/2/7,使用网络DMZ,把Web服务器放在DMZ中,必须保证Web服务器与的Intranet处于不同的子网。这样当网络流量进入路由器时,连接到Internet上的路由器和防火墙就能对网络流量进行筛选和检查了。这样,就证实了DMZ是一种安全性较高的措施;所以除了Web服务器,还应该考虑把E-mail(SMTP/POP)服务器和FTP服务器等,也一同放在DMZ中 。,2019/2/7,5.6 ACL的作用与分类,ACL概述 AC
42、L配置 扩展ACL ACL应用,2019/2/7,什么是ACL?,ACL是针对路由器处理数据报转发的一组规则,路由器利用这组规则来决定数据报允许转发还是拒绝转发 如果不设置ACL路由器将转发网络链路上所有数据报,当网络管理设置了ACL以后可以决定哪些数据报可以转发那些不可以 可以利用下列参数允许或拒绝发送数据报: 源地址 目的地址 上层协议(例如:TCP & UDP端口号) ACL可以应用于该路由器上所有的可路由协议,对于一个接口上的不同网络协议需要配置不同的ACL,2019/2/7,使用ACL检测数据报,为了决定是转发还是拒绝数据报,路由器按照ACL中各条语句的顺序来依次匹配该数据报 当数据
43、报与一条语句的条件匹配了,则将忽略ACL中的剩余所有语句的匹配处理,该数据报将按照当前语句的设定来进行转发或拒绝转发的处理 在ACL的最后都有一条缺省的“deny any”语句 如果ACL中的所有显式语句没有匹配上,那么将匹配这条缺省的语句 ACL可以实时的创建,即实时有效的;因此不能单独修改其中的任何一条或几条,只能全部重写 因此,不要在路由器上直接编写一个大型的ACL,最好使用文字编辑器编写好整个ACL后传送到路由器上,传送的方法有多种:TFTP、HyperTerm软件的“Paste to Host”功能,2019/2/7,路由器如何使用ACL(出站),检查数据报是否可以被路由,可路由地将
44、在路由表中查询路由 检查出站接口的ACL 如果没有ACL,将数据报交换到出站的接口 如果有ACL,按照ACL语句的次序检测数据报直至有了匹配条件,按照匹配条件的语句对数据报进行数据报的允许转发或拒绝转发 如果没有任何语句匹配,将怎样?使用缺省的“deny any”(拒绝所有)语句,2019/2/7,出站标准ACL处理流程,出站数据报,进行路由表的查询,接口有ACL?,源地址匹配?,列表中的下一项,更多的项目?,执行条件,允许Permit,拒绝Deny,否,否,无,是,是,有,向源站发送ICMP信息,转发数据报,2019/2/7,在全局配置模式下按序输入ACL语句 Router(config)#
45、access-list access-list-number permit/deny test-conditions Lab-D(config)#access-list 1 deny 192.5.5.10 0.0.0.0 在接口配置模式中配置接口使用的ACL Router(config-if)#protocol access-group access-list-number in/out Lab-D(config-if)#ip access-group 1 out,两个基本的步骤(标准ACL),2019/2/7,access-list-number参数,ACL有多种类型,access-list
46、-number与ACL的类型有关 下表显示了主要的一些ACL类型与access-list-number的关系,Router(config)#access-list access-list-number permit/denytest-conditions,2019/2/7,permit/deny参数,在输入了access-list命令并选择了正确的 access-list-number后,需要使用permit或 deny参数来选择希望路由器采取的动作,Router(config)#access-list access-list-number permit/denytest-conditions
47、,2019/2/7,test-conditions参数,在ACL的test conditions部分,需要根据存取列表的不同输入不同的参数 使用最多的是希望控制的IP地址和通配符掩码 IP地址可以是子网、一组地址或单一节点地址 路由器使用通配符掩码来决定检查地址的哪些位,Router(config)#access-list access-list-number permit/denytest-conditions,Lab-A(config)#access-list 1 deny 192.5.5.10 0.0.0.0,IP地址,通配符掩码,2019/2/7,通配符掩码,通配符掩码指定了路由器在匹
48、配地址时检查哪些位忽略哪些位 通配符掩码中为“0”的位表示需要检查的位,为“1”的位表示忽略检查的位,这与子网掩码中的意义是完全不同的 192.5.5.10 0.0.0.0二进制方式的表示如下: 11000000.00000101.00000101.00001010 (源地址) 00000000.00000000.00000000.00000000 (通配符掩码),2019/2/7,通配符掩码,2019/2/7,之后若干张幻灯片中将练习处理通配符掩码,类似于子网掩码,这需要一段时间掌握 计算表示下列网络中的所有节点的通配符掩码:192.5.5.0 255.255.255.0 答案:192.5.
49、5.0 0.0.0.255 这个通配符掩码与C类地址的子网掩码正好相反 注意:针对整个网络或子网中所有节点的通配符掩码一般都是这样的,通配符掩码练习,2019/2/7,计算表示下列子网中所有节点的通配符掩码: 192.5.5.32 255.255.255.224 答案是:192.5.5.32 0.0.0.31 0.0.0.31与255.255.255.224正好相反 二进制的形式 11111111.11111111.11111111.11100000 (255.255.255.224) 00000000.00000000.00000000.00011111 (0.0.0.31) 为了证明通配符掩码的工作,请看.32子网中的节点地址192.5.5.55 11000000.00000101.00000101.00110111 (192.5.5.55) 节点地址 11000000.00000101.00000101.00100000 (192.5.5.32) IP地址 00000000.00000000.00000000.00011111 (0.0.0.31)通配符掩码,
